Skip to main content

安全问题存档

Django的开发团队致力于负责任地报告和披露安全相关问题,如 Django的安全策略 中所述。

作为该承诺的一部分,我们保留以下历史清单,列出已确定和披露的问题。对于每个问题,以下列表包括日期,简要说明,CVE标识符 (如果适用),受影响版本的列表,完整披露的链接以及到适当补丁的链接。

一些重要的警告适用于此信息:

  • 受影响版本的列表仅包括在公开时具有稳定的,安全支持的版本的那些版本的Django。这意味着较早版本(其安全支持已过期)和在公开时处于预发布(alpha/beta/RC)状态的版本可能已受到影响,但未列出。

  • Django项目有时会发出安全建议,指出由于配置不当或Django本身以外的其他问题可能导致的潜在安全问题。其中一些顾问已经收到CVEs;当这种情况下,他们在这里列出,但因为他们没有伴随的补丁或版本,只有描述,披露和CVE将被列出。

Django安全过程之前的问题

在Django使用正式的安全进程之前,处理了一些安全问题。对于这些,当时可能没有发布新版本,CVE可能尚未分配。

2006年8月16日 - CVE-2007-0404

翻译框架中的文件名验证问题。 完整说明

版本受影响

2007年1月21日 - CVE-2007-0405

明显“缓存”经过身份验证的用户。 完整说明

版本受影响

Django安全流程下的问题

所有其他安全问题已在Django安全过程的版本下处理。这些列在下面。

2007年10月26日 - CVE-2007-5712

通过任意大的 Accept-Language 报头拒绝服务。 完整说明

版本受影响

2008年5月14日 - CVE-2008-2302

XSS通过管理员登录重定向。 完整说明

版本受影响

2008年9月2日 - CVE-2008-3909

CSRF通过在管理员登录期间保存POST数据。 完整说明

版本受影响

2009年7月28日 - CVE-2009-2659

在开发服务器媒体处理程序中的目录遍历。 完整说明

版本受影响

2009年10月9日 - CVE-2009-3965

通过病理正规表达的拒绝服务。 完整说明

版本受影响

2010年9月8日 - CVE-2010-3082

XSS通过信任不安全的cookie值。 完整说明

版本受影响

2010年12月22日 - CVE-2010-4534

管理界面信息泄漏。 完整说明

版本受影响

2010年12月22日 - CVE-2010-4535

密码复位机制中的拒绝服务。 完整说明

版本受影响

2011年2月8日 - CVE-2011-0696

CSRF通过伪造的HTTP标头。 完整说明

版本受影响

2011年2月8日 - CVE-2011-0697

XSS通过未上传的文件的名称。 完整说明

版本受影响

2011年2月8日 - CVE-2011-0698

在Windows上通过不正确的路径分隔符处理进行目录遍历。 完整说明

版本受影响

2011年9月9日 - CVE-2011-4136

使用内存高速缓存支持的会话时的会话操作。 完整说明

版本受影响

2011年9月9日 - CVE-2011-4137

通过 URLField.verify_exists 拒绝服务。 完整说明

版本受影响

2011年9月9日 - CVE-2011-4138

信息泄漏/通过 URLField.verify_exists 发出任意请求。 完整说明

版本受影响

2011年9月9日 - CVE-2011-4139

Host 头缓存中毒。 完整说明

版本受影响

2011年9月9日 - CVE-2011-4140

通过 Host 标题的潜在CSRF。 完整说明

版本受影响

此通知只是一个建议,所以没有发布修补程序。

  • Django 1.2

  • Django 1.3

2012年7月30日 - CVE-2012-3442

XSS通过无法验证重定向方案。 完整说明

版本受影响

2012年7月30日 - CVE-2012-3443

通过压缩的图像文件拒绝服务。 完整说明

版本受影响

2012年7月30日 - CVE-2012-3444

通过大型图像文件的拒绝服务。 完整说明

版本受影响

2012年10月17日 - CVE-2012-4520

Host 标题中毒。 完整说明

版本受影响

2012年12月10日 - 无CVE 1

附加硬化 Host 头处理。 完整说明

版本受影响

2012年12月10日 - 无CVE 2

额外加强重定向验证。 完整说明

版本受影响

2013年2月19日 - 没有CVE

附加硬化 Host 头处理。 完整说明

版本受影响

2013年2月19日 - CVE-2013-1664 / CVE-2013-1665

基于实体的针对Python XML库的攻击。 完整说明

版本受影响

2013年2月19日 - CVE-2013-0305

通过管理历史记录信息泄漏。 完整说明

版本受影响

2013年2月19日 - CVE-2013-0306

通过形式 max_num 旁路的拒绝服务。 完整说明

版本受影响

2013年8月13日 - CVE-2013-4249

XSS通过管理员信任 URLField 值。 完整说明

版本受影响

2013年8月13日 - CVE-2013-6044

可能的XSS通过未经验证的URL重定向方案。 完整说明

版本受影响

2013年9月10日 - CVE-2013-4315

通过 ssi 模板标记的目录遍历。 完整说明

版本受影响

2013年9月14日 - CVE-2013-1443

通过大密码拒绝服务。 完整说明

版本受影响

2014年4月21日 - CVE-2014-0472

使用 reverse() 意外执行代码。 完整说明

版本受影响

2014年4月21日 - CVE-2014-0473

缓存匿名页面可能会显示CSRF令牌。 完整说明

版本受影响

2014年4月21日 - CVE-2014-0474

MySQL类型转换会导致意外的查询结果。 完整说明

版本受影响

2014年5月18日 - CVE-2014-1418

可以允许高速缓存存储和提供私有数据。 完整说明

版本受影响

2014年5月18日 - CVE-2014-3730

用户输入的格式错误的网址验证不正确。 完整说明

版本受影响

2014年8月20日 - CVE-2014-0480

reverse() 可以生成指向其他主机的URL。 完整说明

版本受影响

2014年8月20日 - CVE-2014-0481

文件上传拒绝服务。 完整说明

版本受影响

2014年8月20日 - CVE-2014-0482

RemoteUserMiddleware 会话劫持。 完整说明

版本受影响

2014年8月20日 - CVE-2014-0483

在admin中通过querystring操作泄漏数据。 完整说明

版本受影响

2015年1月13日 - CVE-2015-0219

WSGI头通过下划线/破折号混淆进行欺骗。 完整说明

版本受影响

2015年1月13日 - CVE-2015-0220

通过用户提供的重定向URL减轻可能的XSS攻击。 完整说明

版本受影响

2015年1月13日 - CVE-2015-0221

django.views.static.serve() 的拒绝服务攻击。 完整说明

版本受影响

2015年1月13日 - CVE-2015-0222

数据库拒绝服务与 ModelMultipleChoiceField完整说明

版本受影响

2015年3月9日 - CVE-2015-2241

通过 ModelAdmin.readonly_fields 中的属性进行XSS攻击。 完整说明

版本受影响

2015年3月18日 - CVE-2015-2316

strip_tags() 的拒绝服务可能性。 完整说明

版本受影响

2015年3月18日 - CVE-2015-2317

通过用户提供的重定向URL减轻可能的XSS攻击。 完整说明

版本受影响

2015年5月20日 - CVE-2015-3982

固定会话刷新在cached_db后端。 完整说明

版本受影响

2015年7月8日 - CVE-2015-5143

通过填充会话存储拒绝服务的可能性。 完整说明

版本受影响

2015年7月8日 - CVE-2015-5144

标头注入的可能性,因为验证器接受输入中的换行符。 完整说明

版本受影响

2015年7月8日 - CVE-2015-5145

网址验证中的拒绝服务可能性。 完整说明

版本受影响

2015年8月18日 - CVE-2015-5963 / CVE-2015-5964

通过填充会话存储,在 logout() 视图中的拒绝服务可能性。 完整说明

版本受影响

2015年11月24日 - CVE-2015-8213

date 模板过滤器中的设置泄漏可能性。 完整说明

版本受影响

2016年2月1日 - CVE-2016-2048

具有“更改”但不是“添加”权限的用户可以使用 save_as=True 创建 ModelAdmin 的对象。 完整说明

版本受影响

2016年3月1日 - CVE-2016-2512

恶意重定向和可能的XSS攻击通过用户提供的重定向URL包含基本的验证。 完整说明

版本受影响

2016年3月1日 - CVE-2016-2513

用户枚举通过定时差异对密码进行工作因子升级。 完整说明

版本受影响

2016年7月18日 - CVE-2016-6186

XSS在管理员的添加/更改相关弹出窗口。 完整说明

版本受影响

2016年9月26日 - CVE-2016-7401

使用Google Analytics(分析)在网站上绕过CSRF保护。 完整说明

版本受影响

2016年11月1日 - CVE-2016-9013

在Oracle上运行测试时创建的硬编码密码的用户。 完整说明

版本受影响

2016年11月1日 - CVE-2016-9014

DEBUG=True 时的DNS重绑定漏洞。 完整说明

版本受影响